GuardDuty
参考:
GuardDutyとは
AWSの脅威検知サービス。2017年に生まれた。
主な機能は「AWSアカウントに迫り来る攻撃を継続的に検知する」というもの。
具体的な機能
AWSアカウントのセキュリティを継続的にチェック
AWSアカウントにある各種ログを自動で取得し、機械学習で分析して異常を検知
使用方法は「有効化」のみ
AWSアカウントには2つの攻撃リスクがある
GuardDutyの目的を知るためには、まずAWSアカウントのセキュリティリスクを知っておく必要がある。
AWSアカウントに存在する2つの攻撃リスク
1. インターネット上のリソースへの攻撃リスク
インターネットに公開してるリソースが存在するなら、それらは全て攻撃リスクになり得る
例えばEC2インスタンスにパブリックIPを付与して、インターネットと通信させてると、それだけでインターネット上にいる攻撃者の対象になる。
攻撃者はEC2インスタンスに対して、ポートスキャンからソフトウェアの脆弱性をついた攻撃を繰り返してくるだろう。
2. AWSアカウント操作(マネコン、クレデンシャルなど)に対する攻撃リスク
クレデンシャル情報を盗まれたり、マネコンへのID・パスワードを盗まれるリスク。
盗まれることでAWSアカウントの操作権限を渡すことになり、攻撃の被害も甚大になる。
万が一に盗まれたら、いち早くそれに気づかなければならない。
GuardDutyの原理と動作
インターネット上リソースやAWSアカウントでの不信なアクセス・操作を検知する
主にやってることは2つ
各種AWSのログを継続的に収集する
CloudTrail、VPC Flow Logs、各種リソースからのDNSログ
ログを機械学習で分析して脅威を検知する
既存の脅威情報や通常の利用と異なるアクセス・操作を検知している
リスクレベルは10段階で評価する
検知について具体的に
ex)EC2が他のインターネットにポートスキャンをかけてたりしたら、確実にGuardDutyに検知される。
よくある質問
q.iconVPC Flow LogやCloudTrailなどを有効化しなくてもGuardDutyは動くのですか?
a.icon動きますが、各種ログは有効化しておいた方がいいです。
ログを有効化していないと、GuardDutyが脅威を検知した際自分でログ内容を見に行けないので。
VPC Flow Logなんかは、有効にするかどうか決めれるのですが、これを有効化してないとGuardDutyの脅威検知を受けても脅威の詳細を知ることができなくなります。
q.icon本当に「有効化」だけでGuardDutyを利用できるようになる?
a.iconなります。ボタンを押すだけです。
q.iconWAFとの違いはなんですか?
a.iconWAFはhttp/httpsリクエストから怪しい動きを検知して防御するレイヤ7のファイアウォールです。
GuardDutyがあればWAFは必要ないのでは?
そんなことはありません。
GuardDutyはhttp/httpsのリクエス内容まで見てません。そのレベルでの脅威検知はできないです。
例えば、SQLインジェクションなどの攻撃はGuardDutyでは検知できないです。
ファイアウォールやIDS/IPSは、主にネットワーク層やオペレーションシステム層などを監視し、不正な通信を検知・遮断します。つまり、ネットワークやオペレーションシステムとは別の層にある、Webアプリケーションに対してのサイバー攻撃を防御することはできないのです。
参考